Questão Os cabeçalhos do protocolo SSH são enviados sem criptografia através de uma conexão cliente-servidor?


Eu sei que informações de roteamento são sempre enviadas claramente (simplificação excessiva, mas carreguem comigo) em um cenário onde existe um túnel SSH entre um cliente e um servidor usando portas não padrão, e o túnel é criptografado usando uma troca segura de chaves com segredo compartilhado, é possível discernir que o tráfego em si é SSH? (EG: A informação do cabeçalho da camada 3 está desimpedida?)

Além disso, existem outras maneiras de saber que esse tráfego é SSH?

Obrigado.

TL: DR: Como você pode determinar que um pacote SSH é SSH?


2


origem




Respostas:


O tráfego em si é criptografado por SSL, por isso é difícil ver a diferença em comparação com outros protocolos SSL (HTTPS, OpenVPN, etc.).

Mas, se o invasor capturar toda a comunicação, ele também recebe o handshake, do qual ele pode ver claramente que é SSH. Ele também vê os clientes e hosts ssh IP (pontos de extremidade do túnel) e as portas usadas por eles. Ele não pode ver o tráfego através do túnel.

SSH handshake


1



O aplicativo é que uma captura de tela? - gal
Isso é wireshark (wireshark.org) - pode capturar e / ou analisar o tráfego de rede - mulaz


Meu entendimento é que, uma vez que o túnel esteja estabelecido, o tráfego acima da camada 4 será ininteligível. Portanto, se você estiver em uma porta não padrão, seria difícil, se não impossível, discernir entre qualquer tráfego criptografado. Ou seja você não seria capaz de dizer entre SSH, SSL ou outros métodos de criptografia. Estou feliz de ser corrigido se isso estiver errado.


0





Se o atacante tiver acesso a toda a sessão TCP, eles terão pistas suficientes para saber que o protocolo de transporte é ssh. Tente telnet para a porta 22 em um servidor que você está executando o ssh em uma porta padrão para ver como.

Se o invasor fizer uma análise de tráfego, ele possivelmente conseguirá distinguir o tráfego do terminal ssh do tráfego de encaminhamento de porta ssh (embora não seja capaz de identificar o conteúdo diretamente). Basicamente, a digitação não se parece com o download de HTML, o download ou a transferência de dados a qualquer velocidade / com pouca latência.

Se o invasor tiver acesso a todo o tráfego de rede de um dos terminais, ele possivelmente conseguirá identificar qual fração específica do tráfego que passa por esse terminal também passou pelo túnel ... mas você já tem perdeu muito por esse ponto; Não há muita privacidade para preservar.

Não há realmente muita informação no claro embora. Duvido que exista um risco sério aqui, mas sem conhecer suas preocupações, é difícil abordá-las.


0